マルウェア作者向けマルウェア

マルウェアのソースコードが公開されることがあります。
そうするとそれを入手してそのまま使う人や改造して自分のマルウェアとして使用する人が出てきます。
すでに実装されたマルウェアの機能をそのまま使えるならマルウェアの実装はより簡単になります。
普通のプログラム開発と同じですね、部品の再利用は生産性を向上させます。

npmというものがあるという話はこれまでも取り上げたことがあります。
Node.js向けのパッケージ管理システムです。
いろいろなモジュールが登録されていて、簡単にそれらを入手して使用することができます。
有用な実装済みコードが入手でき、うまく使うととても効率的に開発がすすめられます。

npmで入手できるものの中に、怪しい目的のためのモジュールが確認されています。
そのモジュールを使うと、こんなことができたりします。

• 被害者のクレジットカード情報の取得機能
• 被害者のアカウントの盗用機能
  アカウントのパスワードと電子メールの変更などができます。

こんな機能の実装されたモジュールの中の機能の一つに名前からは連想できない動作内容が含まれていました。
その機能を動作させると、名前が示す内容の実行のほかに、DiscordトークンをハードコードされたWebhookアドレスにハイジャックする機能も一緒に動作します。
他の人の情報を盗もうとしていたら自分の情報が知らない間に盗まれていた、という話です。

こんな動作が実装されていたらすぐにわかりそうなものだと思ったりします。
しかし、そもそもが怪しい内容が実装されているモジュールで、モジュール全体が難読化されているなどがあるため、こんな動作が埋め込まれていることがわかりにくくなっているのです。

その利用しようとしているコード、大丈夫ですか？
モジュールを探すときはタイポに注意が必要ですが、それだけではなく中身にも注意が必要ということですね。

ただより怖いものはないということなのかもしれません。

参考記事（外部リンク）：Malware Civil War – Malicious npm Packages Targeting Malware
Authors
jfrog.com/blog/malware-civil-war-malicious-npm-packages-targeting-malware-authors/